オーシャンズ8で学ぶ情報セキュリティ
9ボールが有能すぎるのかMETの担当者がいかんのか
以下ネタバレを含みますのでオーシャンズ8見てなくてネタバレされたくない方はここでストップしてください!
オーシャンズ8はオーシャンズシリーズの女性版で、日本では8月公開のようですが、こちらでは一足先に公開されています。
前シリーズの主人公ダニー オーシャンの妹(万引きの天才?)が仲間を募ってMET Galaでモデルのダフネクルーガーが着用する凄い高いダイヤのネックレスを盗み出す計画を立てるのですが、劇中でリアーナ演じる「東海岸で最高のハッカー」ナインボール(余談ですが本名でないのを突っ込まれて「じゃあエイトボールで」とか言っちゃう子)がMETのセキュリティカメラの配置図に不正アクセスを試みていました。
今回は、ナインボールの不正アクセス事例(映画だけど)からセキュリティ対策を考えて見ましょう。
免責:映画館で一回見ただけですので細かいところが間違っているかもしれません
ナインボールが実施したのは以下のような攻撃です。
1.担当者と思しき人物の名前を公開されているサイトから入手
2.その名前でフェイスブックを検索し、その人物の嗜好を推測
3.人物の嗜好に基づいたフィッシングメッセージを送信し、フィッシングサイトに誘導(ここでマルウェアに感染させたのでしょう、ナインボール側からカメラを不正にのっとって本人の映像を見ている描写あり)
4.マルウェアで確保したバックドアからその人物のログインアカウントでアクセス。パスワードはブルートフォースで突破(描写からの推測)
5.セキュリティカメラ配置予定図のファイルに不正アクセス
6.当該ファイルを、カメラに死角ができるように不正改ざん
7.結果、このファイルを基に配置されたカメラに死角ができる
この手の映画でハッキングというと、なんとなくコンソールだけでよくわからんスクリプトでセキュリティを突破するスーパーハカーが登場することが多いのですが、ソーシャルエンジニアリング的な手法が使われているのがリアルです。いまどきのAPTアタックでも大抵発端はフィッシングメール等からのマルウェア感染ですからね。やはり最大の脆弱性は人間なのです。
映画ではこの結果、トイレのドアの前に一定の死角が生まれ。この死角を使ってダイヤのネックレスを盗み出すことに成功するわけですが、これを防止するためには何が必要だったのでしょうか。
まず、冒頭に触れたように事前調査としてナインボールは内部の人間の名前や嗜好を公開情報から取得・推測しています。セキュリティ関係者の名前を公開サイトに載せておくのはあまりよいとはいえませんが、個人のフェイスブックなんかを規制するのは難しいですし、公開情報は悪用されるものとするしかないでしょう。
問題はフィッシングに担当者が引っかかってしまった事。
メールを受信してしまうことに関しては(ある程度のSPAMフィルタがあったとしても)仕方ないと思うので、まず軽々しくフィッシングサイトのリンクをクリックしちゃうユーザーに問題があります。ありますが人間はどうしても脆弱ですし、犬好きがかわいい犬画像を餌に使われたときにそれにあがなうのは難しいのでここは仕組みで対応を考えたいところ
たとえば特定以外の外部サイトにアクセスすることを制限するくらいは、彼が当該のPCで扱う情報の重要度を考えればやっておいてもよかったでしょう
また、あっさりマルウェアに感染してのっとられてしまったのでPCの脆弱性対応がしっかりしていなかった疑いもあります(東海岸一のハッカーなのでゼロデイ攻撃だった可能性もありますが)
それからパスワード総当りで突破されてしまうのもログイン管理的にはちょっと危うい。今時であれば複数回誤ったパスワードを入力すればロックがかかるのが普通です。なぞのデバイスを使ってたのでここはブルートフォースじゃなくて謎スーパーハカーテクノロジーだった可能性もありますけども
さらにセキュリティカメラの配置図という重要なファイルにもかかわらず改ざん防止の対策が採られていなかった疑いもあります。
(権限を持った担当者のアカウントをのっとっているので)ファイルアクセスのモニタリングに引っかからない可能性はありますが、バージョン管理がされていればカメラを実装する前に気づいた可能性は結構高いと思うんですよね。
それに変更管理的な観点で考えるなら、ファイナル版はもう一回レビューするものではないでしょうか。少なくとも実装に移す前に再レビューがあって、その日時以降に更新されていた場合はチェックが入らなくてはいけなかったと思います。
ただ、変更日付が改ざんされていた可能性はあります(描写には無かったと思うけど)その場合は気づかなくても不思議はありませんね。ファイルデータが改ざんされた時に検知する方法もないわけではありませんが、一つ一つのファイルに対してこれをやるのは難しいかもしれません。
最後に、配置したときのテストで気づかなかったのか、しっかりテストをしなかった可能性が疑われます。ファイルをいくら更新しても実際にカメラを実装して死角があれば「あれ、おかしいな」となるはず。
よくある話でこういった最終テストは納期の都合とかで甘くなる可能性が結構あるので天下のMETでもそういう事情があったのかもしれません。
あるいはセキュリティの責任者が自信満々っぽかったので、自身の設計への過信があったのかもしれません。
いずれにしても、さまざまな対策が事前に適切に取れていれば、この改ざんは防げた可能性が高いでしょう。
まあ、映画なので「アメリカの凄い優秀なセキュリティ担当者」だか「元モサドのすごい人」だかが脇が甘いのは仕方が無いのですが、翻って現実世界で考えても、上記のような対策の必要性はわかっていても見過ごされている(あるいは忙しくて放置されている)事も多いのではないかと思います。
これを機に、オーシャン女史にダイヤを盗まれないように自分のところのセキュリティ、見直してみるのも良いのではないでしょうか。
